用户App余额遭盗用,美国星巴克否认被骇
最近有多起星巴克程式帐号遭到盗用的事件浮上台面,有骇客挟持了用户的凭证,并利用
相关帐号的自动储值功能购买了多张礼物卡。目前曝光的受害者损失都在几百美元之谱,
外界猜测,骇客透过黑市销售这些礼物卡来牟利。
iThome 文/陈晓莉 | 2015-05-15发表
本周美国传出有骇客针对星巴克(Starbucks)行动程式进行攻击,取得该程式用户的登
入凭证,并用来购买礼物卡,再于黑市上销售。星巴克证实了骇客的行为,但否认程式含
有漏洞,指出骇客是借由其他管道取得使用者的登入凭证。
星巴克为全球知名的连锁咖啡门市,该公司所打造的同名行动程式提供星巴克的各种最新
消息及活动,可用来寻找最近的门市,还具备随行卡及礼物卡功能,可直接用来消费或是
购买礼物卡送给友人,该程式连结了使用者信用卡与PayPal帐号,并支援自动储值功能。
不过,最近有多起星巴克程式帐号遭到盗用的事件浮上台面,有骇客挟持了用户的凭证,
并利用相关帐号的自动储值功能购买了多张礼物卡。目前曝光的受害者损失都在几百美元
之谱,外界猜测,骇客透过黑市销售这些礼物卡来牟利。
曾有人怀疑是星巴克的系统被入侵或是程式漏洞,然而星巴克很快就出面澄清表示,的确
有用户抱怨帐号被盗用,但这主要是因为骇客从他处取得了使用者的帐号与密码,再尝试
以同样的凭证登入星巴克程式。为了保障用户的安全,星巴克建议使用者在不同的服务中
要使用不同的凭证,特别是与金融资讯有关的服务。
根据估计,目前星巴克程式约有1600万使用者,去年在美国星巴克门市的交易中就有16%
是透过星巴克程式。此外,去年底的送礼旺季,有超过1/7的美国人都收到星巴克的礼物
卡。
即使星巴克否认是系统或程式含有安全漏洞,但也强调用户不必替被盗用的款项负责。安
全专家则建议星巴克应该要采用双因素认证机制来保护使用者凭证,并限制密码输错次数
。(编译/陈晓莉)
http://www.ithome.com.tw/news/95896